ニュース
2004/05/06 08:02 更新

Sasser対策：仕事始めにはまず確認とパッチ適用を

ゴールデンウィークが終わり、多くのユーザーがオフィスに戻ってくる日本では、これからSasserの被害が拡大する可能性があるとして警戒が呼びかけられている。

　先週末から拡大し始めたSasserワーム。海外での感染はひと段落付いた模様だが、数ある大企業で感染報告が見られたようだ。ゴールデンウィーク明けを迎え、多くのユーザーがオフィスに戻ってくる日本では、これから被害が拡大する可能性がある。

　これを踏まえ、経済産業省や総務省、情報処理推進機構といった各組織やウイルス対策ベンダー各社、それにマイクロソフトが、警戒を呼びかけている。

　トレンドマイクロによると、5月5日時点で確認された国内でのSasser感染件数は2桁台。万単位に上ったという海外に比べれば非常に少ない。

　ただ経済産業省では、5月6日は、「大型連休明けの仕事開始日であり、企業において多数のコンピュータが起動され、社員の持ち込んだPCが社内LANに接続されることから、国内でも被害が拡大する危険性」があると指摘。かつてのBlaster（MSBlast）のように、脆弱性を残したままのPCならばネットワークに接続しているだけで感染することから、休み明けに被害が広がることを懸念している。

　経済産業省では特に連休明けに備え、企業ユーザーに向けて、コンピュータの電源はシステム担当者／管理者の指示を得てから投入するよう呼びかけている。この記事を読んでいる時点で、既にインターネットに接続していることになるのだが、もし、パッチを適用した覚えがないのならば「うちの対処はどうなっているのか？」を確認し、管理者からの指示を確認し、それに従うべきだろう（そうした問い合わせによってかえって管理者が忙殺される可能性はあるが、どうか甘受願いたい）。

　いろいろと騒がれてはいるが、エンドユーザーがなすべきなのは、ごく基本的な事柄だけだ。まずはMS04-011の修正パッチを適用する。SasserはMS04-011に含まれているLSASSの脆弱性を突く仕組みだが、逆にこのセキュリティホールさえ塞いでいれば、感染はしないはずだ。

　もう1つは、導入しているウイルス対策ソフトを最新の状態にアップデートしておくこと。ウイルス対策ソフトベンダー各社では、Sasser対策専用のWebページを設けているところも多い。

　問題は、Windows 2000のように、MS04-011を適用すると不具合が生じる環境での防御策だ。この場合は、各ユーザーがパーソナルファイアウォールソフトの導入によって不要なポートをブロックするとともに、管理者がネットワークセグメントごとにフィルタリングを行い、Sasserが悪用するTCP/445をはじめ不要なポートを開けないようにする。

　なお経済産業省では、システム管理者に対しては、エンドユーザーに対する周知徹底とネットワークレベルでのポートフィルタリング、パッチ適用や感染マシンの隔離・駆除といったSasserへの対応という3つの対処も呼びかけている。

　残念ながら、SasserがBlasterやNachi並みの感染力や影響を持っていることも事実。自分だけでなく、周囲の同僚や取引先に被害を及ぼさないためにも、上記の対処が必要だ。

　ウイルス対策ベンダーや各組織とも、今後警戒すべきは新たな亜種の登場だと口をそろえる。Sasserでは、発生以来1週間とたたないうちに、4種類の亜種が登場した。今後、さらに感染力を高めた亜種や情報を漏洩させる機能を備えた亜種などが登場する可能性は否定できない。こまめなウイルス対策ソフトのアップデートによって亜種をブロックしながら、パッチの適用によって根本的な原因を修正しておくという、基本的な対策を徹底することが何より重要だ。

関連記事
Sasserワーム亜種の脅威が急拡大
ネット接続だけで感染する「Sasser」発生、連休明けに厳重注意を
脆弱性修正パッチでWindows 2000に問題

関連リンク
マイクロソフト：Sasser ワームについてのお知らせ
経済産業省：マイクロソフト社製OSの脆弱性を攻撃するワームへの緊急の対応及び大型連休明けの情報セキュリティ対策について
IPA：新種ワーム「W32/Sasser」に関する情報

[ITmedia]

Copyright© 2010 ITmedia, Inc. All Rights Reserved.